CN114760333A - 基于联盟链标识服务的电力物联数据可信交换方法及*** - Google Patents

基于联盟链标识服务的电力物联数据可信交换方法及*** Download PDF

Info

Publication number
CN114760333A
CN114760333A CN202210233753.1A CN202210233753A CN114760333A CN 114760333 A CN114760333 A CN 114760333A CN 202210233753 A CN202210233753 A CN 202210233753A CN 114760333 A CN114760333 A CN 114760333A
Authority
CN
China
Prior art keywords
power internet
identity
data
things terminal
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210233753.1A
Other languages
English (en)
Inventor
张冀川
谭传玉
王鹏
郭屾
孙浩洋
张明宇
张治明
白帅涛
秦四军
姚志国
吕琦
张永芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, Electric Power Research Institute of State Grid Zhejiang Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210233753.1A priority Critical patent/CN114760333A/zh
Publication of CN114760333A publication Critical patent/CN114760333A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/35Utilities, e.g. electricity, gas or water
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Business, Economics & Management (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了基于联盟链标识服务的电力物联数据可信交换方法及***,包括:根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识;基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址;采用数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,并将加密后的密文按照所述数据缓存地址存储到区块链上,或基于所述数据缓存地址从所述区块链上获取密文,并对所述密文解密,完成所述电力物联网终端和区块链之间的可信交互。本发明通过身份标识获取对应数据缓存地址,实现数据可信索引与数据篡改的可信校验,并通过数据签名和非对称加密技术保障数据的安全透明实施传输与共享。

Description

基于联盟链标识服务的电力物联数据可信交换方法及***
技术领域
本发明涉及电力物联网技术领域,具体涉及基于联盟链标识服务的电力物联数据可信交换方法及***。
背景技术
随着信息通信技术的发展,电网智能化业务以及能源互联网泛在业务接入需求的不断增加,对信息通信技术支撑电网业务的能力提出了更高的要求,电力通信网支撑业务安全、可信、灵活接入的需求非常迫切。然而电力物联网的网络架构复杂化、主站云化、终端设备物联化、业务灵活扩展等特点导致电力物联网面临的安全风险与之前相比发生了巨大变化。而近年来,网络安全形势日益严峻,物联网安全事件逐年增加,导致电力物联网面临更加严峻的网络安全形势。对于现阶段的电力物联网,提升用电信息采集***数据安全的保障至关重要。
边缘物联代理作为电力物联网感知层的核心设备,起到连接物联网终端与云端的作用。一方面,边缘物联代理与物联管理平台进行业务数据交互,将采集数据上送至物联管理平台,并执行其下发的指令;另一方面,边缘物联代理负责物联网终端现场多源数据的汇聚分析,对部分物联网终端进行操作指令下发。边缘物联代理如防护措施不到位,遭受入侵或被非法控制后,可能造成电网数据的泄露、篡改,甚至以此为跳板对物联管理平台开展渗透攻击,导致整个***瘫痪。
边缘物联代理与物联管理平台、物联网终端的正常数据交互是电力物联网***稳定运行的基础,随着现代化的网络技术和自动化技术的广泛运用,电力物联网***的数据传输也成为一些不法分子恶意攻击的对象,且攻击手段呈现多元化、复杂化、隐蔽化。
已有技术方案1:公开号为CN110351381A,名称为“一种基于区块链的物联网可信分布式数据共享方法”的发明公开了一种基于区块链的物联网可信分布式数据共享方法,依托该方法实现的***包括资源层、网络层、区块链层和应用层等体系结构要素。各设备/用户结点在逻辑上组合形成双层覆盖网络,各子网内部均设置一个存储和计算能力较大的预选定边缘网关结点充当超节点;这些PSPN同时组成区块链层,利用智能合约,结合链上和链下存储,实现安全高效的去中心化分布式数据共享访问控制。本发明利用P2P技术,在体系结构上解决了工业物联网环境中不同数据来源实体间的有效联通问题;解决物联网场景中海量数据的共享效率问题;有效解决了数据可信共享的去中心化和可审计问题,降低了***的运营和维护成本。但是利用区块链共识交换数据,将受到区块链存储性能的限制,造成数据索引速度快速下降,难以实现数据快速交换。
已有技术方案2:公开号为CN112202715A名称为“一种物联网与区块链可信交互的***、方法及装置”的发明专利,公开了一种物联网与区块链可信交互的***、方法及装置,所述***包括:设备注册模块、区块链安全网关模块、区块链网络以及区块链前端应用模块。采用本申请所述的物联网与区块链可信交互的***,能够实现安全、可认证、无差别网络接入、自动协议转换、安全密钥托管的特点,为物联网和区块链交互结合过程中提供了一种安全可靠的基础设施,有效保证了物联网和区块链交互的安全可靠、便利以及操作的一致性。本专利进解决了数据的安全认证与可信采集,对于数据交换传输的安全问题未涉及。
已有技术方案3:公开号为CN103118016A名称为“一种物联网可信标识确证***及方法”的发明专利,公开了一种物联网可信标识确证***及方法,涉及物联网终端身份验证技术和物联网信息安全传输技术,包括物联网终端部署在基础资源上,借助物联网终端识别基础资源、采集基础资源的信息以及控制基础资源的运行,通过服务器端可信标识确证中间件与客户端相连,借助标识编码确证和信息加密解密处理,实现物联网终端身份认证和物联网信息安全传输,解决物联网环境下终端身份标识的可信性和信息传输的安全性以及基础资源可追溯性问题。本专利聚焦于利用标识解决数据流转的溯源问题,对于传输交换过程的安全性与实时性无法保障。
综上,现有技术仍然无法保障数据传输交换过程的安全性与实时性。
发明内容
为了解决现有技术仍然无法保障数据传输交换过程的安全性与实时性的问题,本发明提出了基于联盟链标识服务的电力物联数据可信交互方法,包括:
根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识;
基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址;
采用数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,并将加密后的密文按照所述数据缓存地址存储到区块链上,或基于所述数据缓存地址从所述区块链上获取密文,并对所述密文解密,完成所述电力物联网终端和区块链之间的可信交互。
优选的,所述根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识包括:
将所述电力物联网终端设备信息和部署信息输入到预先构建的身份标识模型,得到所述电力物联网终端的身份标识;
其中,所述身份标识模型是基于所述电力物联网终端的访问请求,将满足所述访问请求所必需的凭证和属性信息的所述电力物联网终端采用身份统一映射机制分配身份标识构建的。
优选的,所述身份标识模型的构建包括:
基于电力物联网终端设备信息和部署信息结合访问请求为所述电力物联网终端分配全局身份标识和本地域中的身份标识;
由所述全局身份标识、本地域中的身份标识以及本地域的域标识、电力物联网终端的访问信息组、凭证组和属性组构建初始身份识别模型;
基于所述电力物联网终端的设备信息、部署信息和访问请求对所述初始身份识别模型进行更新和维护,得到身份识别模型。
优选的,所述基于电力物联网终端设备信息和部署信息结合访问请求为所述电力物联网终端分配全局身份标识和本地域中的身份标识,包括:
基于所述电力物联网终端的访问请求,向嵌入所述电力物联网终端中的区块链客户端发送终端身份构建请求;
所述区块链客户端为所述电力物联网终端生成全局身份标识和本地域中的身份标识。
优选的,所述由所述全局身份标识、本地域中的身份标识以及本地域的域标识、电力物联网终端的访问信息组、凭证组和属性组构建初始身份识别模型,包括:
所述区块链客户端要求所述电力物联网终端提供本地服务所必需的凭证和属性信息;
所述区块链客户端存储所述电力物联网终端提供的凭证和属性信息,并将所述电力物联网终端的本地域的域标识添加到可信域列表,构建初始身份识别模型。
优选的,所述基于电力物联网终端的设备信息、部署信息和访问请求对所述初始身份识别模型进行更新和维护,得到身份识别模型,包括:
S1基于电力物联网终端的访问请求,确定电力物联网终端访问的本地域并向所述本地域提供全局身份标识;
S2所述本地域验证所述全局身份标识是否为本地终端,若为本地终端,则进入S6,否则向所述区块链客户端发起查找请求进入S3;
S3若所述区块链客户端查找到所述全局身份标识,则将所述电力物联网终端当前访问域的域标识添加到可信列表中,并从所述本地域中取得所述电力物联网终端相关凭证和属性信息发送至所述本地域进入步骤S4,否则将构建初始身份模型;
S4所述本地域判断所述凭证和属性信息是否能够完成电力物联网终端认证和授权工作,若不能,则向所述电力物联网终端发送额外凭证和属性信息要求进入步骤S5,否则进入S6;
S5所述本地域基于所述电力物联网终端根据要求发送的额外凭证和属性信息完成电力物联网终端认证和授权工作;
S6完成对电力物联网终端进行认证和授权操作。
优选的,所述基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址,包括:
区块链根据设定的信息服务安全分类分级数值生成摘要值,并根据所述区块链私钥和所述摘要值对所述身份标识进行数字签名得到标识;
根据所述区块链私钥和所述标识生成标识承诺及其验证信息,并根据私钥和所述标识指针生成指针承诺及其验证信息;
在所述区块链上建立所述标识和所述电力物联网终端数据的映射关系;
由所述标识、所述标识指针以及所述标识和所述电力物联网终端数据的映射关系作为所述电力物联网终端数据在所述区块链上的数据缓存地址。
优选的,所述基于所述数据缓存地址结合数据签名和非对称加密技术,完成所述电力物联网终端和区块链之间的可信交互,包括:
采用所述数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,并将加密后的密文按照所述数据缓存地址存储到区块链上,或基于所述数据缓存地址从所述区块链上获取密文,并对所述密文解密,完成所述电力物联网终端和区块链之间的可信交互。
优选的,所述采用数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,包括:
电力物联网终端采用不同消费者的公钥对业务数据进行加密,并采用自有私钥对电力物联网终端数据进行签名,得到签名加密数据作为密文。
优选的,所述对所述密文解密,包括:
所述数据消费者采用从区块链同步的电力物联网终端的公钥进行验证,并将验证通过后的签名加密数据采用自有私钥进行解密获得电力物联网终端数据。
优选的,还包括:
对所述标识及标识指针进行验证;
对所述标识进行更新;
对所述标识的有效性进行验证,并对无效的标识宣布无效。
基于同一发明构思本发明还提供了基于联盟链标识服务的电力物联数据可信交互***,包括:
区块链客户端,用于根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识;
电力物联网终端,用于基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址,并将所述区块链加密后的密文按照所述数据缓存地址存储到区块链上;
区块链,用于采用数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,或基于所述数据缓存地址从所述区块链上获取密文,并对所述密文解密,完成所述电力物联网终端和区块链之间的可信交互。
优选的,所述区块链客户端包括:
将所述电力物联网终端设备信息和部署信息输入到预先构建的身份标识模型,得到所述电力物联网终端的身份标识;
其中,所述身份标识模型是基于所述电力物联网终端的访问请求,将满足所述访问请求所必需的凭证和属性信息的所述电力物联网终端采用身份统一映射机制分配身份标识构建的。
优选的,所述身份标识模型的构建包括:
基于电力物联网终端设备信息和部署信息结合访问请求为所述电力物联网终端分配全局身份标识和本地域中的身份标识;
由所述全局身份标识、本地域中的身份标识以及本地域的域标识、电力物联网终端的访问信息组、凭证组和属性组构建初始身份识别模型;
基于所述电力物联网终端的设备信息、部署信息和访问请求对所述初始身份识别模型进行更新和维护,得到身份识别模型。
与现有技术相比,本发明的有益效果为:
本发明提供了基于联盟链标识服务的电力物联数据可信交互方法,包括:根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识;基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址;采用数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,并将加密后的密文按照所述数据缓存地址存储到区块链上,或基于所述数据缓存地址从所述区块链上获取密文,并对所述密文解密,完成所述电力物联网终端和区块链之间的可信交互。本发明通过身份标识获取对应数据缓存地址,实现数据可信索引与数据篡改的可信校验,并通过数据签名和非对称加密技术保障数据的安全透明实施传输与共享。
附图说明
图1为本发明的基于联盟链标识服务的电力物联数据可信交换方法流程图;
图2为本发明的区块链客户端功能结构示意图;
图3为本发明的身份模型组成示意图;
图4为本发明的基于联盟链的标识管理机制流程图;
图5为本发明的基于区块链的可信标识声明周期管理方法具体构造图;
图6为本发明的标识注册过程流程图;
图7为本发明的标识及其指针承诺模块结构示意图;
图8为本发明的标识验证模块流程图;
图9为本发明的标识撤销模块流程图;
图10为本发明的标识和指针提取流程图;
图11为本发明的数据签名/验证过程示意图;
图12为本发明的数据加密/解密过程示意图。
具体实施方式
本发明设计了基于联盟链标识服务的电力物联数据可信交换方法,基于联盟链的特性和链上链下关联的开放数据索引命名标识技术,设计数据标识分层解析模式,建立标识解析机制,通过标识获取对应数据缓存地址,实现数据可信索引与数据篡改的可信校验;设计基于标识的轻量级数据可信交互协议,通过数据签名和非对称加密技术保障数据的安全透明实施传输与共享,即保障数据传输与共享过程的实时性,也可以确保数据进行可信校验。本发明还考虑了数据标识耦合度过高等问题,保障电力物联数据可信的同时,满足数据标识解耦存储与传输。
实施例1:
本发明提出基于联盟链标识服务的电力物联数据可信交换方法,如图1所示,包括:
步骤1:根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识;
步骤2:基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址;
步骤3:基于所述数据缓存地址结合数据签名和非对称加密技术,完成所述电力物联网终端和区块链之间的可信交互。
步骤1中的根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识,具体包括:
(一)通过在电力物联网终端上嵌入区块链客户端,实现电力物联网终端与区块链的可信接入。区块链客户端根据电力物联网终端的设备信息与部署信息按照一定的规则给予其唯一的身份认证标识,之后该身份标识将作为该电力物联网终端设备在区块链上注册与接入的凭证。同时,区块链客户端电力物联网终端如图2所示,生成数据的读取、存储、密钥生成、密钥管理与数据加密传输上链等功能,实现电力物联网终端数据可信上链。
(二)面向电力物联网终端身份统一映射机制:
电力物联网终端的全局身份标识和电力物联网终端在本地域中的身份标识对有向身份、多元身份互操作这两个身份法则提供支持;电力物联网终端的访问信息组、电力物联网终端在当前访问域中的身份标识、电力物联网终端当前访问域的域标识和可信域组共同提供对电力物联网终端控制和许可、最小泄露和有限使用、正当的使用者和跨环境一致性体验的支持。电力物联网终端的全局身份标识和身份相关联,赋予电力物联网终端在应用中的唯一标识,身份和终端属性组、终端特征组相关联,这些属性包括终端id、终端MAC地址、终端IP、终端的名称等信息,特征包括与身份认证技术有关的数字证书、智能卡、指纹等组合信息。电力物联网终端在不同的域中有不同的当前访问域中的身份标识,在电力物联网终端进行跨域访问时,电力物联网终端的访问记录将被记录到电力物联网终端的访问信息组中。
在步骤1之前还包括:对电力物联网终端的身份模型的构建。
电力物联网终端的身份模型建立流程共分为2个阶段:第一阶段是初始状态模型构建,该阶段主要完成属性和特征凭证细腻的搜集工作,生成全局身份标识和本地身份标识;第二阶段是身份模型更新,该阶段通过电力物联网终端在不同的服务中使用身份模型,完成访问信息的更新工作。
身份模型如图3所示,由电力物联网终端全局身份标识、本地身份标识、临时身份标识以及访问信息组、凭证组、属性组、可信域组所组成。在本方案中,身份模型的形式化定义为:identity=<GI,TI,Itemp,LI,Ilocal,AIL,CL,AL,DLtrust.其中,GI表示电力物联网终端的全局身份标识;TI为电力物联网终端在当前所访问域中的身份标识;Itemp是电力物联网终端当前访问域的域标识;LI为电力物联网终端在本地域中的身份标识;Ilocal是电力物联网终端本地域的域标识;AIL是电力物联网终端的访问信息组;CL是凭证组;AL是属性组;DLtrust表示可信域组。上图给出了身份模型的组成。在身份模型中,GI,TI,Itemp的组合也是全网唯一的。当***对电力物联网终端进行认证时,将向电力物联网终端请求凭证,在授权后,从身份模型的凭证组中取出请求的凭证提供给服务,对属性的操作和对凭证的操作类似。
GI和LI对有向身份、多元身份互操作这2个身份法则提供支持;AIL,TI,Ilocal和DLtrust共同提供对法则控制和许可、最小泄露和有限使用、正当的使用者和跨环境一致性体验的支持。GI和身份相关联,并将赋予给电力物联网终端在应用中的唯一标识,身份和AL、CL相关联,这些属性可能包括电力物联网终端的id、MAC地址、IP、名称等信息,身份认证技术有关的数字证书、智能卡、指纹等组合信息。在不同的域中有不同的TI。在电力物联网终端进行跨域访问时,电力物联网终端的访问信息将被记录到AIL中。
身份模型建立流程如下:
a)初始模型流程:
初始身份模型包含GI,TI,Ilocal,CL,AL,等信息,构建流程如下:
(1)电力物联网终端访问某一服务提供方,该服务提供方成为电力物联网终端的本地服务提供方SPlocal
(2)本地服务提供方SPlocal与区块链客户端上的身份构建功能模块IDlocal交互,SPlocal向IDlocal发送新终端身份构建请求。
(3)IDlocal为电力物联网终端生成电力物联网终端的全局身份标识GI,向本地身份提供者SPlocal发送电力物联网终端的全局身份标识GI,并存储电力物联网终端的全局身份标识GI和本地域的域标识Ilocal
(4)身份构建功能模块IDlocal为电力物联网终端生成电力物联网终端在本地域中的身份标识LI,向电力物联网终端发送全局身份标识GI,在本地域中的身份标识LI和本地域的域标识Ilocal,并存储电力物联网终端的全局身份标识GI和本地域中的身份标识LI。
(5)身份构建功能模块IDlocal要求电力物联网终端提供使用本地服务所必需的凭证和属性信息。
(6)电力物联网终端向身份构建功能模块IDlocal送凭证和属性信息,IDlocal存储凭证和属性信息,电力物联网终端将本地域的域标识Ilocal添加到可信域列表。
(7)终端开始使用本地服务。
b)身份模型更新流程:
身份模型的更新阶段完成跨域身份信息的更新和维护、信任关系的建立等,在身份模型中,TI,LI,Ilocal,GI,AL和DLtrust等信息将被更新。更新流程如下:
(1)终端访问电力物联网终端本地域的域标识为Itemp,并向域标识为Itemp的电力物联网终端本地域提供电力物联网终端的全局身份标识GI。
(2)域标识为Itemp的电力物联网终端本地域验证终端是否是本地终端,若是,则跳至步骤(9),否则,转回步骤(3)。
(3)域标识为Itemp的电力物联网终端本地域向区块链标识***Idglobal发起查找请求。
(4)Idglobal查找该终端是否已存在,若不存在则转入构建初始身份模型流程;若已存在则尝试和该身份的域标识为Itemp的电力物联网终端本地域通信,以便从域标识为Itemp的电力物联网终端本地域中取得终端相关凭证和属性信息。
(5)域标识为Itemp的电力物联网终端本地域将域标识Itemp添加到自己的可信身份提供方列表,并向电力物联网终端身份统一管理***Idglobal发送终端凭证和属性信息(该操作必须经用户许可)。
(6)电力物联网终端身份统一管理***Idglobal将从域标识为Itemp的电力物联网终端本地域处取得的电力物联网终端凭证和属性发送给发起请求的域标识问为Itemp的电力物联网终端本地域。
(7)域标识为Itemp的电力物联网终端本地域首先将域标识Itemp添加到自己的可信身份提供方列表;然后判断接收到的电力物联网终端凭证信息和属性信息是否足够完成电力物联网终端认证和授权工作,若是则转入步骤(9);否则,域标识为Itemp的电力物联网终端本地域将要求电力物联网终端发送额外的凭证和属性信息。
(8)电力物联网终端向域标识为Itemp的电力物联网终端本地域发送额外凭证和属性信息。
(9)域标识为Itemp的电力物联网终端本地域对电力物联网终端进行认证和授权操作。
(10)域标识为Itemp的电力物联网终端本地域向电力物联网终端发送当前访问域的域标识和TI。终端将这些信息写入访问信息组中,终端将访问域添加到可信域列表中。
在整个身份模型的架构中。Idglobal将存储终端身份模型中的GI,TI和本地域相关的凭证和属性信息;Itemp生成TI,并存储终端访问服务所需的凭证和属性信息。
步骤2中的基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址,具体包括:
(三)基于链上标识的电力物联数据可信验证方法:
电力物联网中的终端设备获得的身份标识,以此作为前缀可以为其开放的每一份数据资源编制一个包含本身标识前缀的且增加了后缀的标识串,并将该标识串索引到数据资源的元数据和URL上,这样标识就成为数据资源的一部分,始终与该数字资源共存。电力物联网中的各个设备的数据资源的标识记录、元数据及其URL信息可以ON编码的形式保存在该设备对应的信息服务器内,这些被集中存贮起来的资源就形成一个资源标识库。
当电力物联网终端根据标识串寻找一个数据资源或有关这一资源的相关信息时,查询请求就会通过标识解析库在区块链上进行定位,然后被传送到该设备所登记的访问点(access point,AP)上进行解析并得到该数据资源的元数据描述和实际数据URL链接。各个终端可以完全开放数据资源访问权,也可以通过适当的自定义机制决定各终端的数据资源访问权。
采用数据索引命名技术对数据统一命名,并通过信息服务器接口提供相关服务,每个操作都将按照特定的协议规范被编码后广播到区块链平台,得到共识后加入区块,存入区块链。
综上基于联盟链的电力物联网终端标识周期管理方法,如图4所示包括以下步骤:
(1)标识签发。数据所有者的一种数字命名。用于对信息服务实体的服务能力签发可信标识,这里的数据所有者是指电力物联网终端。
(2)标识及其指针承诺。用于对标识和标识指针进行承诺并存储到区块链。
(3)标识发布。在区块链上建立标识和数据的映射关系,包括发布项所在位置、数据拥有者身份、数据标识、数据摘要。
(4)标识及指针验证。用于验证标识和指针的有效性。
(5)标识更新。再次签发和更新标识,即对于电力物联网终端产生的数据对应的后缀标识进行更新。
(6)标识撤销。用于宣布标识无效。
(7)标识和指针提取。用于从所述区块链中提取所述标识和所述标识指针。
基于区块链的可信标识声明周期管理方法具体构造图如图5所示。标识签发模块具体用于生成摘要值,并根据标识签发机构私钥和所述摘要值生成数字签名。具体而言,标识签发模块用于标识签发机构对信息服务实体的服务能力签发可信标识如图6所示:
认证机构对信息服务实体的服务能力签发可信标识;
认证机构对标识和标识指针进行承诺并存储到区块链;
任意用户或认证机构验证标识的有效性;
任意用户或认证机构验证标识是否为更新标识;
对于某个标识,其对应的认证机构宣布该标识无效;
对于某个标识,其对应的认证机构再次签发和承诺该标识的更新标识;
对于某个标识,其对应的认证机构从区块链中提取该认证机构承诺的标识和指针。
过程如下,调用摘要函数H,输入信息服务安全分类分级数值L,输出摘要值H(L);并调用数字签名算法Π1中的签名算法Sig,输入摘要值H(L)和标识签发机构私钥SKCA,输出数字签名。
标识及其指针承诺模块具体用于根据所述标识签发机构私钥和所述标识生成标识承诺及其验证信息,并根据所述标识签发机构私钥和所述标识指针生成指针承诺及其验证信息。标识及其指针承诺模块用于标识签发机构输入标识签发机构私钥和标识,输出标识承诺及其验证信息,输入标识签发机构私钥和标识指针,输出指针承诺及其验证信息。具体而言如图7所示,分为如下步骤:
调用可提取承诺算法Π2中的承诺算法Com,输入标识Lable和标识签发机构公钥PKCA,输出标识承诺及其验证信息。
如果该标识为新标识,则令标识指针P=CurrentNonce,如果该标识为更新标识,则令标识指针P=PreviousNonce。调用可提取承诺算法Π2中的承诺算法Com,输入标识指针P和标识签发机构公钥PKCA,然后输出指针承诺及其验证信息。
把标识承诺及其验证信息、指针承诺及其验证信息存储到区块链。
标识验证模块具体用于根据所述标识签发机构公钥、所述标识、所述标识承诺及其验证信息生成有效性判断。具体来说如图8所示,分为如下几个步骤:
(1)查询标识及其指针承诺数字签名在区块链上是否存在,如果存在,则输出无效,否则输出有效。
(2)调用摘要函数H,输入信息服务安全分类分级数值L,输出摘要值H(L)。
(3)调用数字签名算法Π1中的验证算法Ver,输入摘要值H(L)、标识签发机构公钥PKCA、数字签名对(H(L),σL),输出有效性判断,如果是有效则,执行第四步,否则跳转到第二步。
(4)调用可提取承诺算法Π2中的验证算法Ver,输入标识Label、标识签发机构公钥PKCA、标识承诺及其验证信息(ψL,ρL),输出有效性判断,输出有效,否则拒绝。
(5)如果(1)、(2)、(4)项均输出有效,则该标识有效,否则该标识无效。
指针验证模块具体用于根据标识签发机构公钥、标识指针、标识指针承诺及其验证信息生成有效性判断。具体来说,调用可提取承诺算法Π2中的验证算法Ver,输入标识指针P、标识签发机构公钥PKCA、标识承诺及其验证信息,输出有效性判断valid/invalid。
标识撤销模块具体用于根据所述标识承诺及其验证信息、所述指针承诺及其验证信息生成摘要值,并根据所述标识签发机构私钥和所述摘要值生成所述数字签名。如图9所示,具体来说:
(1)调用摘要函数H,输入标识承诺及其验证信息,指针承诺及其验证信息,输出标识及其指针承诺的摘要值;(2)调用数字签名算法Π1中的签名算法Sig,输入标识及其指针承诺的摘要值输出摘要值签名对。
标识更新模块具体用于重新运行标识签发模块和标识及其指针承诺模块对于某个标识,其对应的CA机构重新运行标识签发模块和标识及其指针承诺模块,则完成标识更新。
标识和指针提取模块具体根据所述标识签发机构私钥和标识承诺生成所述标识,并根据所述标识签发机构私钥和所述指针承诺生成所述标识指针。具体来说,如图10所示:
(1)调用可提取承诺算法中的提取算法Extract,输入标识承诺ψL和标识签发机构私钥SKCA,输出标识Lable(2)调用可提取承诺算法Π2中的提取算法Extract,输入指针承诺ψP和标识签发机构私钥SKCA,输出指针P。除此之外本机制用到了摘要函数、数字签名、可提取承诺算法。
本发明所用到的5项参数分别为:运行POW(Proof Of Work,工作量证明)机制生成的随机数、可信标识承诺及其验证信息、可信标识指针承诺及其验证信息、标识撤销签名、标识签发机构公钥。具体如下:
可信标识承诺及其验证信息是指标识签发机构对可信标识承诺,输出的承诺及其验证信息。
标识指针:如果该标识为新标识,则标识指针P等于当前区块运行POW机制生成的随机值,即P=Current Nonce;如果该标识为某一标识的更新标识,则标识指针P等于上一标识所在区块的随机值,即P=Previous Nonce。
可信标识指针承诺及其验证信息是指标识签发机构对指针P进行承诺。
标识撤销签名是指某一标识被宣布无效,则对该标识承诺及其验证信息、指针承诺及其验证信息的摘要值进行数字签名。
标识签发机构公钥是指该区块是由某个标识签发机构贡献的。
步骤3中的基于所述数据缓存地址结合数据签名和非对称加密技术,完成所述电力物联网终端和区块链之间的可信交互,具体包括:
(四)基于标识的轻量级电力物联网数据可信交互协议:
在本发明中将电力物联网数据与数据标识解耦存储与传输,将相对稳定的数据标识及对应的公钥通过区块链存储,以保证数据标识的不可篡改性。而将实时变化的数据本身通过数据交换层存储与交换,保证数据的实时性。
电力物联网数据通过数据签名和非对称加密技术保障数据的安全透明可信共享,电力物联网数据的可信共享过程如下。
本实施例中的业务数据是指电力物联网终端产生的数据,电力物联网数据签名及验证流程,如图11具体如下:
电力物联网终端采用自身私钥签名后发布数据;签名业务数据通过数据交换网络进行传输;数据消费者接收到签名业务数据后,从区块链同步数据发布者公钥信息;采用数据发布者公钥信息解析并使用电力物联网数据,保证电力物联网数据的可信性。
电力物联网数据加解密流程,如图12具体如下:
电力物联网终端采用不同数据消费者的公钥对业务数据进行加密,并用自有私钥对电力物联网数据进行签名;签名加密数据通过数据交换网络进行存储与传输;对应的数据消费者采用从区块链同步的数据发布者公钥进行验证;验证通过后,用自有私钥对数据进行解密获得数据,保证数据的安全切片共享。
数据交换网络交互协议,具体如下:
在数据交换流程中,与电力物联网终端对应的业务***输入电力物联网终端标识信息请求电力物联网数据,通过数据网关向分布式数据可信链节点请求标识解析(若对应数据具有访问限制,有权限则返回数据对应密钥,否则告知无权限访问),得到数据访问地址并将请求签名后打包为兴趣报文,并将兴趣报文转发到该地址。兴趣报文进入ICN网络后,路过每网络节点按照PIT、CS、FIB的顺序分别对该标识对应的内容进行查找。在某网络节点获取到数据报文后将数据报文原路返回。最终数据网关获取到报文后(对于有限制报文,用数据对应私钥解密),并采用发布者公钥对来源进行验证。
由于ICN网络的性能主要取决于获取到缓存的位置,本发明拟综合兴趣访问热度及拓扑信息设计缓存策略。以网络拓扑规模对网络节点进行分域,可分为核心网络与边缘网络。
对于核心网络,采用基于Hash的缓存任务分配方式,即内容缓存在节点ID与该内容哈希值最接近的节点处,该方案根据哈希计算得到内容所在节点,缩短了缓存查找时间,且数据仅被缓存一次,因而缩短了缓存占据的空间。
对于边缘网络,采用路过数据内容即缓存的方式,缓存空间充满时对缓存进行替换。对于每一个数据内容将拥有内容热度值(Content Popularity Value,CPV)和命中次数(Number Of Hits,NOH)两个属性作为衡量替换的标准。CPV表示之前该内容对象的热度值,NOH表示在本计时周期内的命中次数。当一个计时周期结束时,通过在该计时周期的NOH和之前的CPV计算出新的内容热度值并排序,当需要进行缓存替换时,将内容热度值最低的缓存删除,写入新的数据内容。
本发明提出了一种基于联盟链标识服务的电力物联数据可信交换方法,其效果如下:
通过设计嵌入式区块链客户端***,实现电力物联网终端与侧链的可信接入;考虑到对电力物联网终端身份的统一管理,建立了电力物联数据采集的终端身份统一映射机制,提供了对有向身份、多元身份互操作这两个身份法的支持,使得电力物联网终端拥有统一的身份标识;通过引入链上标识的电力物联数据可信验证方法,实现了电力物联数据的可信访问和验证;为了解决电力物联网数据可信交互问题,设计基于标识的轻量级物联数据可信交互协议,有效解耦了存储与传输,保证了数据标识的不可篡改和数据的实时性。
实施例2:
基于联盟链标识服务的电力物联数据可信交互***,包括:
区块链客户端,用于根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识;
电力物联网终端,用于基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址,并将所述区块链加密后的密文按照所述数据缓存地址存储到区块链上;
区块链,用于采用数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,或基于所述数据缓存地址从所述区块链上获取密文,并对所述密文解密,完成所述电力物联网终端和区块链之间的可信交互。
下面对本基于联盟链标识服务的电力物联数据可信交互***作详细介绍:
数据可信共享平台作为电力物联网中数据交换的主要场所,上层依赖区块链平台达到数据可信、不可篡改的目的,下层由边缘物联代理负责数据的采集和处理。本发明提出的基于联盟链标识服务的电力物联数据可信交换方法可应用于下图所示的电力物联网数据交换***中,实现数据的可信性、实时***互。
如图12所示,若是电力物联终端的能力不足时,将区块链客户端部署于边缘物联代理上。不同的边缘智能电力设备由边缘物联代理统一管理,边缘物联代理安装本发明提出的嵌入式区块链客户端。不仅如此,边缘物联代理作为电力物联网中的边缘终端将被赋予电力物联网终端在应用中的唯一标识,身份和终端属性组、终端特征组相关联,采用本发明提出的终端身份统一映射机制来实现各个终端身份的统一管理、维护。边缘物联代理通过此体系获得一个帐号身份后,以此为前缀可以为其开放的每一份数据资源编制一个标识串。边缘物联代理将该标识串上链到联盟链平台后,能源计量数据可信共享平台采用本发明提出的基于链上标识的电力物联数据可信验证方法来实现数据可信验证,保证电力物联数据的可信安全。同时,该联盟链平台利用轻量级电力物联网数据可信交互协议来有效的传输数据,实现数据的实时性。这里的联盟链平台,是基于区块链搭建的***,提供标识服务,区块链客户端交互的对象是联盟链平台。
区块链包括标识签发模块、标识及其指针承诺模块、标识验证模块、指针验证模块、标识撤销模块、标识更新模块和标识和指针提取模块;下面对这几部分做详细介绍:
标识签发模块具体用于根据信息服务安全分类分级数值生成摘要值,并根据标识签发机构私钥和所述摘要值生成数字签名。具体而言,标识签发模块用于标识签发机构对信息服务实体的服务能力签发可信标识。过程如下,调用摘要函数H,输入信息服务安全分类分级数值L,输出摘要值H(L);并调用数字签名算法Π1中的签名算法Sig,输入摘要值H(L)和标识签发机构私钥SKCA,输出数字签名。
标识及其指针承诺模块具体用于根据所述标识签发机构私钥和所述标识生成标识承诺及其验证信息,并根据所述标识签发机构私钥和所述标识指针生成指针承诺及其验证信息。标识及其指针承诺模块用于标识签发机构输入标识签发机构私钥和标识,输出标识承诺及其验证信息,输入标识签发机构私钥和标识指针,输出指针承诺及其验证信息。具体而言,分为如下步骤:
(1)调用可提取承诺算法Π2中的承诺算法Com,输入标识Lable和标识签发机构公钥PKCA,输出标识承诺及其验证信息。
(2)如果该标识为新标识,则令标识指针P=CurrentNonce,如果该标识为更新标识,则令标识指针P=PreviousNonce。调用可提取承诺算法Π2中的承诺算法Com,输入标识指针P和标识签发机构公钥PKCA,然后输出指针承诺及其验证信息。
把标识承诺及其验证信息、指针承诺及其验证信息存储到区块链。
标识验证模块具体用于根据所述标识签发机构公钥、所述标识、所述标识承诺及其验证信息生成有效性判断。具体来说,分为如下几个步骤:
(1)查询标识及其指针承诺数字签名在区块链上是否存在,如果存在,则输出无效,否则输出有效。
(2)调用摘要函数H,输入信息服务安全分类分级数值L,输出摘要值H(L)。
(3)调用数字签名算法Π1中的验证算法Ver,输入摘要值H(L)、标识签发机构公钥PKCA、数字签名对(H(L),σL),输出有效性判断,如果是有效则执行第四步,否则跳转到第二步。
(4)调用可提取承诺算法Π2中的验证算法Ver,输入标识Label、标识签发机构公钥PKCA、标识承诺及其验证信息(ψL,ρL),输出有效性判断,输出有效,否则拒绝。
如果(1)、(2)、(4)项均输出有效,则该标识有效,否则该标识无效。
指针验证模块具体用于根据所述标识签发机构公钥、所述标识指针、所述标识指针承诺及其验证信息生成有效性判断。具体来说,调用可提取承诺算法Π2中的验证算法Ver,输入标识指针P、标识签发机构公钥PKCA、标识承诺及其验证信息,输出有效性判断valid/invalid。
标识撤销模块具体用于根据所述标识承诺及其验证信息、所述指针承诺及其验证信息生成摘要值,并根据所述标识签发机构私钥和所述摘要值生成所述数字签名。具体来说,(1)调用摘要函数H,输入标识承诺及其验证信息,指针承诺及其验证信息,输出标识及其指针承诺的摘要值;(2)调用数字签名算法Π1中的签名算法Sig,输入标识及其指针承诺的摘要值输出摘要值签名对。
标识更新模块具体用于重新运行标识签发模块和标识及其指针承诺模块对于某个标识,其对应的CA机构重新运行标识签发模块和标识及其指针承诺模块,则完成标识更新。
标识和指针提取模块具体根据所述标识签发机构私钥和标识承诺生成所述标识,并根据所述标识签发机构私钥和所述指针承诺生成所述标识指针。具体来说,(1)调用可提取承诺算法中的提取算法Extract,输入标识承诺ψL和标识签发机构私钥SKCA,输出标识Lable(2)调用可提取承诺算法Π2中的提取算法Extract,输入指针承诺ψP和标识签发机构私钥SKCA,输出指针P。除此之外本机制用到了摘要函数、数字签名、可提取承诺算法。
本发明所用到的5项参数分别为:运行POW(Proof Of Work,工作量证明)机制生成的随机数、可信标识承诺及其验证信息、可信标识指针承诺及其验证信息、标识撤销签名、标识签发机构公钥。具体如下:
可信标识承诺及其验证信息是指标识签发机构对可信标识承诺,输出的承诺及其验证信息。
标识指针:如果该标识为新标识,则标识指针P等于当前区块运行POW机制生成的随机值,即P=Current Nonce;如果该标识为某一标识的更新标识,则标识指针P等于上一标识所在区块的随机值,即P=Previous Nonce。
可信标识指针承诺及其验证信息是指标识签发机构对指针P进行承诺。
标识撤销签名是指某一标识被宣布无效,则对该标识承诺及其验证信息、指针承诺及其验证信息的摘要值进行数字签名。
标识签发机构公钥是指该区块是由某个标识签发机构贡献的。
电力物联网终端采用自身私钥签名后发布数据;签名业务数据通过数据交换网络进行传输;数据消费者接收到签名业务数据后,从区块链同步数据发布者公钥信息;采用数据发布者公钥信息解析并使用电力物联网数据,保证电力物联网数据的可信性。
电力物联网终端采用不同数据消费者的公钥对业务数据进行加密,并用自有私钥对电力物联网数据进行签名;签名加密数据通过数据交换网络进行存储与传输;对应的数据消费者采用从区块链同步的数据发布者公钥进行验证;验证通过后,用自有私钥对数据进行解密获得数据,保证数据的安全切片共享。
在数据交换流程中,业务***输入电力物联网终端标识信息请求电力物联网数据,通过数据网关向分布式数据可信链节点请求标识解析(若对应数据具有访问限制,有权限则返回数据对应密钥,否则告知无权限访问),得到数据访问地址并将请求签名后打包为兴趣报文,并将兴趣报文转发到该地址。兴趣报文进入ICN网络后,路过每网络节点按照PIT、CS、FIB的顺序分别对该标识对应的内容进行查找。在某网络节点获取到数据报文后将数据报文原路返回。最终数据网关获取到报文后(对于有限制报文,用数据对应私钥解密),并采用发布者公钥对来源进行验证。
相比传统的数据可信交换方法,本发明做出了以下改进:
(1)引入嵌入式区块链客户端***设计,实现电力物联网终端与区块链的可信接入,分模块设计区块链客户端,包括:数据存储、加密校验、标识管理、通信采集等功能。
(2)在设计电力物联网终端设备的身份标识时,考虑了全局身份标识和本地域的身份标识,并建立终端身份的同一映射机制且支持有向身份、多元身份互操作这两个身份法。
(3)引入链上标识的电力物联数据可信验证方法,来对电力物联网数据进行可信交换,电力数据经过索引命名技术统一命名后,电力物联网终端会通过开源的标识解析库在区块链上定位到它想要访问的数据,借助访问点解析该资源得到元数据描述和实际数据URL链接,最后根据该数据资源的访问权来得到该数据。
设计了基于标识的轻量级物联数据可信交互协议,目的是将电力物联网数据于数据标识解耦存储与传输,来保证数据标识的不可篡改以及保证电力物联数据的实时性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在发明待批的本发明的权利要求范围之内。

Claims (14)

1.基于联盟链标识服务的电力物联数据可信交互方法,其特征在于,包括:
根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识;
基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址;
基于所述数据缓存地址结合数据签名和非对称加密技术,完成所述电力物联网终端和区块链之间的可信交互。
2.如权利要求1所述的方法,其特征在于,所述根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识包括:
将所述电力物联网终端设备信息和部署信息输入到预先构建的身份标识模型,得到所述电力物联网终端的身份标识;
其中,所述身份标识模型是基于所述电力物联网终端的访问请求,将满足所述访问请求所必需的凭证和属性信息的所述电力物联网终端采用身份统一映射机制分配身份标识构建的。
3.如权利要求2所述的方法,其特征在于,所述身份标识模型的构建包括:
基于电力物联网终端设备信息和部署信息结合访问请求为所述电力物联网终端分配全局身份标识和本地域中的身份标识;
由所述全局身份标识、本地域中的身份标识以及本地域的域标识、电力物联网终端的访问信息组、凭证组和属性组构建初始身份识别模型;
基于所述电力物联网终端的设备信息、部署信息和访问请求对所述初始身份识别模型进行更新和维护,得到身份识别模型。
4.如权利要求3所述的方法,其特征在于,所述基于电力物联网终端设备信息和部署信息结合访问请求为所述电力物联网终端分配全局身份标识和本地域中的身份标识,包括:
基于所述电力物联网终端的访问请求,向嵌入所述电力物联网终端中的区块链客户端发送终端身份构建请求;
所述区块链客户端为所述电力物联网终端生成全局身份标识和本地域中的身份标识。
5.如权利要求4所述的方法,其特征在于,所述由所述全局身份标识、本地域中的身份标识以及本地域的域标识、电力物联网终端的访问信息组、凭证组和属性组构建初始身份识别模型,包括:
所述区块链客户端要求所述电力物联网终端提供本地服务所必需的凭证和属性信息;
所述区块链客户端存储所述电力物联网终端提供的凭证和属性信息,并将所述电力物联网终端的本地域的域标识添加到可信域列表,构建初始身份识别模型。
6.如权利要求3所述的方法,其特征在于,所述基于电力物联网终端的设备信息、部署信息和访问请求对所述初始身份识别模型进行更新和维护,得到身份识别模型,包括:
S1基于电力物联网终端的访问请求,确定电力物联网终端访问的本地域并向所述本地域提供全局身份标识;
S2所述本地域验证所述全局身份标识是否为本地终端,若为本地终端,则进入S6,否则向所述区块链客户端发起查找请求进入S3;
S3若所述区块链客户端查找到所述全局身份标识,则将所述电力物联网终端当前访问域的域标识添加到可信列表中,并从所述本地域中取得所述电力物联网终端相关凭证和属性信息发送至所述本地域进入步骤S4,否则将构建初始身份模型;
S4所述本地域判断所述凭证和属性信息是否能够完成电力物联网终端认证和授权工作,若不能,则向所述电力物联网终端发送额外凭证和属性信息要求进入步骤S5,否则进入S6;
S5所述本地域基于所述电力物联网终端根据要求发送的额外凭证和属性信息完成电力物联网终端认证和授权工作;
S6完成对电力物联网终端进行认证和授权操作。
7.如权利要求1所述的方法,其特征在于,所述基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址,包括:
区块链根据设定的信息服务安全分类分级数值生成摘要值,并根据所述区块链私钥和所述摘要值对所述身份标识进行数字签名得到标识;
根据所述区块链私钥和所述标识生成标识承诺及其验证信息,并根据私钥和所述标识指针生成指针承诺及其验证信息;
在所述区块链上建立所述标识和所述电力物联网终端数据的映射关系;
由所述标识、所述标识指针以及所述标识和所述电力物联网终端数据的映射关系作为所述电力物联网终端数据在所述区块链上的数据缓存地址。
8.如权利要求1所述的方法,其特征在于,所述基于所述数据缓存地址结合数据签名和非对称加密技术,完成所述电力物联网终端和区块链之间的可信交互,包括:
采用所述数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,并将加密后的密文按照所述数据缓存地址存储到区块链上,或基于所述数据缓存地址从所述区块链上获取密文,并对所述密文解密,完成所述电力物联网终端和区块链之间的可信交互。
9.如权利要求8所述的方法,其特征在于,所述采用数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,包括:
电力物联网终端采用不同消费者的公钥对业务数据进行加密,并采用自有私钥对电力物联网终端数据进行签名,得到签名加密数据作为密文。
10.如权利要求9所述的方法,其特征在于,所述对所述密文解密,包括:
所述数据消费者采用从区块链同步的电力物联网终端的公钥进行验证,并将验证通过后的签名加密数据采用自有私钥进行解密获得电力物联网终端数据。
11.如权利要求8所述的方法,其特征在于,还包括:
对所述标识及标识指针进行验证;
对所述标识进行更新;
对所述标识的有效性进行验证,并对无效的标识宣布无效。
12.基于联盟链标识服务的电力物联数据可信交互***,其特征在于,包括:
区块链客户端,用于根据电力物联网终端的设备信息和部署信息为所述电力物联网终端分配身份标识;
电力物联网终端,用于基于所述身份标识从区块链的资源标识库中获取对应的数据缓存地址,并将所述区块链加密后的密文按照所述数据缓存地址存储到区块链上;
区块链,用于采用数据签名和非对称加密技术对所述电力物联网终端的数据进行加密,或基于所述数据缓存地址从所述区块链上获取密文,并对所述密文解密,完成所述电力物联网终端和区块链之间的可信交互。
13.如权利要求12所述的***,其特征在于,所述区块链客户端包括:
将所述电力物联网终端设备信息和部署信息输入到预先构建的身份标识模型,得到所述电力物联网终端的身份标识;
其中,所述身份标识模型是基于所述电力物联网终端的访问请求,将满足所述访问请求所必需的凭证和属性信息的所述电力物联网终端采用身份统一映射机制分配身份标识构建的。
14.如权利要求13所述的***,其特征在于,所述身份标识模型的构建包括:
基于电力物联网终端设备信息和部署信息结合访问请求为所述电力物联网终端分配全局身份标识和本地域中的身份标识;
由所述全局身份标识、本地域中的身份标识以及本地域的域标识、电力物联网终端的访问信息组、凭证组和属性组构建初始身份识别模型;
基于所述电力物联网终端的设备信息、部署信息和访问请求对所述初始身份识别模型进行更新和维护,得到身份识别模型。
CN202210233753.1A 2022-03-10 2022-03-10 基于联盟链标识服务的电力物联数据可信交换方法及*** Pending CN114760333A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210233753.1A CN114760333A (zh) 2022-03-10 2022-03-10 基于联盟链标识服务的电力物联数据可信交换方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210233753.1A CN114760333A (zh) 2022-03-10 2022-03-10 基于联盟链标识服务的电力物联数据可信交换方法及***

Publications (1)

Publication Number Publication Date
CN114760333A true CN114760333A (zh) 2022-07-15

Family

ID=82325872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210233753.1A Pending CN114760333A (zh) 2022-03-10 2022-03-10 基于联盟链标识服务的电力物联数据可信交换方法及***

Country Status (1)

Country Link
CN (1) CN114760333A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109951279A (zh) * 2019-03-15 2019-06-28 南京邮电大学 一种基于区块链和边缘设备的匿名数据存储方法
CN110958111A (zh) * 2019-12-09 2020-04-03 广东电网有限责任公司 一种基于区块链的电力移动终端身份认证机制
CN112134956A (zh) * 2020-09-23 2020-12-25 中国科学院深圳先进技术研究院 一种基于区块链的分布式物联网指令管理方法和***
CN113708934A (zh) * 2021-07-22 2021-11-26 中国电力科学研究院有限公司 异构环境下基于区块链的能源互联网可信交互数据模型
CN113949544A (zh) * 2021-09-30 2022-01-18 西安理工大学 基于dag区块链的物联网设备轻量级认证和访问授权方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109951279A (zh) * 2019-03-15 2019-06-28 南京邮电大学 一种基于区块链和边缘设备的匿名数据存储方法
CN110958111A (zh) * 2019-12-09 2020-04-03 广东电网有限责任公司 一种基于区块链的电力移动终端身份认证机制
CN112134956A (zh) * 2020-09-23 2020-12-25 中国科学院深圳先进技术研究院 一种基于区块链的分布式物联网指令管理方法和***
CN113708934A (zh) * 2021-07-22 2021-11-26 中国电力科学研究院有限公司 异构环境下基于区块链的能源互联网可信交互数据模型
CN113949544A (zh) * 2021-09-30 2022-01-18 西安理工大学 基于dag区块链的物联网设备轻量级认证和访问授权方法

Similar Documents

Publication Publication Date Title
Yu et al. Blockchain-based solutions to security and privacy issues in the internet of things
CN111373704B (zh) 一种支持多模标识网络寻址渐进去ip的方法、***及存储介质
Mohsin et al. Blockchain authentication of network applications: Taxonomy, classification, capabilities, open challenges, motivations, recommendations and future directions
CN110351381B (zh) 一种基于区块链的物联网可信分布式数据共享方法
Dwivedi et al. Blockchain-based secured IPFS-enable event storage technique with authentication protocol in VANET
CN112311530B (zh) 一种基于区块链的联盟信任分布式身份凭证管理认证方法
Omar et al. Identity management in IoT networks using blockchain and smart contracts
Liu et al. A data storage method based on blockchain for decentralization DNS
Ren et al. Potential identity resolution systems for the industrial Internet of Things: A survey
CN111368230B (zh) 一种基于区块链的工业互联网标识的处理方法及装置
CN102594823B (zh) 一种远程安全访问智能家居的可信***
CN103098070B (zh) 用于监视网络服务中数据位置的方法、装置和***
Chen et al. Bidm: a blockchain-enabled cross-domain identity management system
CN109218981B (zh) 基于位置信号特征共识的Wi-Fi接入认证方法
JP6543743B1 (ja) 管理プログラム
CN112199726A (zh) 一种基于区块链的联盟信任分布式身份认证方法及***
CN113055363A (zh) 一种基于区块链信任机制的标识解析***实现方法
Bai et al. Decentralized and self-sovereign identity in the era of blockchain: a survey
Dwivedi et al. Smart contract and IPFS-based trustworthy secure data storage and device authentication scheme in fog computing environment
CN105376212A (zh) 通过内容中心网络进行密钥解析的***和方法
CN104410635B (zh) 一种基于dane的ndn安全认证方法
Khan et al. Enhanced decentralized management of patient-driven interoperability based on blockchain
Zhang et al. Blockchain‐Based DNS Root Zone Management Decentralization for Internet of Things
Wang et al. Scalable identifier system for industrial internet based on multi-identifier network architecture
CN110191129A (zh) 一种信息中心网络中的内容命名认证***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination